Die dunkle Seite der Digitalisierung: Cyberangriffe sind längst keine Seltenheit mehr, sondern eine ständige Bedrohung für Unternehmen. Fachleute schätzen, dass mittlerweile mehr als die Hälfte aller gemeldeten Cybersicherheitsvorfälle auf das Konto krimineller Organisationen und Akteure gehen.

Ernsthafte Bedrohung – gerade auch für kleinere Unternehmen

Weltweit gibt es fast jeden Tag neue Schlagzeilen über Datenschutzverletzungen, Systemhacks oder erpresserische Ransomware-Attacken. Jüngstes Beispiel: die cyberkriminellen Machenschaften der Erpressergruppe „REvil“. Generell haben es die Angreifenden nicht nur auf internationale Konzerne oder große Unternehmen abgesehen. Fakt ist: Viele Hacker verdienen ihren Lebensunterhalt damit, auch kleine und mittlere Unternehmen (KMU) ins Visier zu nehmen.

Cyber-Attacken gefährden die Vertraulichkeit, Integrität und/oder Verfügbarkeit von Unternehmensdaten, Informationssystemen und Netzwerken. Der sogenannte CIA-Dreiklang für Datensicherheit – Confidentiality, Integrity, Availability – wird komplett ausgehebelt. Die möglichen Schäden reichen von finanziellen Verlusten über Reputationseinbußen und behördliche Strafen bis zu Betriebsunterbrechungen und Insolvenzen. Umso wichtiger ist es, dass auch kleine und mittlere Unternehmen sowie Tochtergesellschaften entsprechende Budgets, Sicherheitstools und personelle Ressourcen bereithalten, um den immer größer werdenden Gefahren durch Cyberangriffe zu begegnen.

Cyber-Umfrage

Quelle: Symantec Internet Security Threat Report and Fundera

Systematisches Risikomanagement gefragt

Jede Organisation ist auf das zuverlässige Funktionieren ihrer kritischen Infrastruktur angewiesen. Gerade die zunehmende Komplexität und Konnektivität der Infrastruktursysteme vergrößert jedoch die Angriffsflächen und macht es für Cyberkriminelle leichter, Schwachstellen der Informationssicherheit auszunutzen. Für die Unternehmen ist es daher zunehmend wichtig, einen systematischen Ansatz zur Identifizierung, Bewertung und Priorisierung von Cyberrisiken zu verfolgen. Auf dieser Basis können Kontroll-Mechanismen identifiziert und implementiert werden, mit denen sich das Risikoniveau auf einen akzeptablen Bereich senken lässt.

Diese Kontrollen können – im Fall einer Tochtergesellschaft – über Richtlinien des Konzerns bzw. der übergeordneten Organisation implementiert werden. Eine andere Möglichkeit für KMU sind kundenspezifische Kontrollen basierend auf Best Practices. Das Whitepaper „Information Security Baseline: SME/Subsidiary“ von TÜV Rheinland gibt einen Einblick in die empfohlenen und obligatorischen Informationssicherheits-Kontrollen. Interessierte Unternehmen erfahren, welche Maßnahmen speziell KMU und Tochtergesellschaften implementieren können, um letztlich die Vertraulichkeit, Integrität und Verfügbarkeit (CIA) ihrer kritischen Systemressourcen zu gewährleisten.

Empfohlene und obligatorische Cybersecurity-Kontrollen

Die vorgeschlagenen Baseline-Kontrollen gelten für alle Mitarbeitenden eines Unternehmens, für Auftragnehmer*innen ebenso wie für Unterauftragnehmer*innen und deren jeweilige Einrichtungen, die den Geschäftsbetrieb der Konzernorganisation unterstützen. Sie sind überall dort relevant, wo Konzerndaten gespeichert oder verarbeitet werden und betreffen auch Dritte, die von der Konzernorganisation bzw. ihrer Tochtergesellschaft mit der Handhabung, Verarbeitung, Übertragung, Speicherung oder Entsorgung von Konzerndaten beauftragt wurden.

Verpflichtende Kontrollen

  • Obligatorische Kontrollen bilden die Informationssicherheits-Basis für die gesamte Community und müssen von allen Tochtergesellschaften in ihrer lokalen, dezentralen und/oder Cloud-Infrastruktur implementiert werden. Um ein realistisches Ziel für einen kurzfristigen, greifbaren Sicherheitsgewinn zu setzen, haben wir insgesamt 15 obligatorische Kontrollen in den Bereichen Management, Technik und Operatives Geschäft priorisiert.
VERPFLICHTENDE KONTROLLEN

Empfohlenen Kontrollen

  • Die 14 empfohlenen Kontrollen basieren auf bewährten Methoden, die die Tochtergesellschaften zusätzlich implementieren können, um ihre Informationssicherheits-Standards zu verbessern. Im Laufe der Zeit ändern sich aufgrund neuer Bedrohungen möglicherweise auch die Anforderungen an die Maßnahmen – und einige empfohlene Kontrollen können obligatorisch werden.
EMPFOHLENE KONTROLLEN

Whitepaper zum Download

Weitere detaillierte Informationen zu den aufgeführten Kontrollmaßnahmen finden Sie im Whitepaper „Information Security Baseline: SME/Subsidiary”.

Autor des Beitrags

ANAND RABINDRANATH

ANAND RABINDRANATH

SENIOR INFORMATION SECURITY SPECIALIST

Anand Rabindranath ist Senior Information Security Specialist bei TÜV Rheinland in Muscat, Oman. Er besitzt mehr als zehn Jahre Berufserfahrung in den Bereichen IT-Sicherheit, Audit, Risiko- und Compliance-Management. Unter anderem unterstützt er globale Unternehmen bei der Implementierung von Informationssicherheits-Managementsystemen und bei der Schulung interner User zu Themen der Computersicherheit. So sind sie besser in der Lage, IT-Sicherheitsverletzungen zu vermeiden und auf Cyberangriffe zu reagieren.

Meist gelesene Beiträge

Wasserstoffauto-Test

Ein Tag mit dem Wasserstoffauto

Wie fährt sich eigentlich ein Wasserstoffauto? Was ist beim Tanken zu beachten? Jan Scholten von TÜV Rheinland hat erste Erfahrungen beim Praxistest gesammelt.
Industrie Roboter

Sicherheits-Check für Industrie-Roboter

Roboter – aus Produktion und Logistik sind sie nicht mehr wegzudenken. Für mehr Sicherheit bei ihrem Einsatz sorgen verschiedene Normen und Prüfstandards.
Ransomware

Ransomware – Kidnapping im Digital-Zeitalter

Immer mehr Unternehmen werden Opfer von Daten-Kidnapping. Studie von TÜV Rheinland zeigt Beratungsbedarf. Tipps zum Schutz vor Ransomware-Angriffen.

Kommentare

0 Kommentare

Einen Kommentar abschicken

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Newsletter

Niemand mag Pop Ups. Aber Sie werden unseren Newsletter mögen

Erhalten Sie regelmäßig Blogartikel zu den Themen Digitalisierung, Modernes Leben, Energie und Technik.